Tutorial: Respuesta a amenazas mediante cuadernos de estrategias con reglas de automatización en Microsoft Sentinel

En este tutorial se muestra cómo usar los cuadernos de estrategias junto con las reglas de automatización para automatizar la respuesta a los incidentes y corregir las amenazas de seguridad detectadas por Microsoft Azure Sentinel. Después de realizar este tutorial, podrá:

• Crear una regla de automatización
• Crear un cuaderno de estrategias
• Agregar acciones a un cuaderno de estrategias
• Adjuntar un cuaderno de estrategias a una regla de automatización o una regla de análisis para automatizar la respuesta a las amenazas

Nota

En este tutorial se proporcionan instrucciones básicas sobre una tarea principal para los clientes: la creación de automatización para la evaluación de prioridades de los incidentes. Para más información, consulte nuestra sección Procedimiento, por ejemplo, cómo automatizar la respuesta frente a amenazas con los cuadernos de estrategias de Microsoft Azure Sentinel y cómo usar desencadenadores y acciones en los cuadernos de estrategias de Microsoft Azure Sentinel.

¿Qué son las reglas de automatización y los cuadernos de estrategias?

Las reglas de automatización ayudan a evaluar incidentes en Microsoft Azure Sentinel. Puede usarlas para asignar automáticamente incidentes al personal adecuado, cerrar incidentes ruidosos o falsos positivos conocidos, cambiar su gravedad y agregar etiquetas. También son el mecanismo por el que puede ejecutar cuadernos de estrategias en respuesta a los incidentes.

Los cuadernos de estrategias son colecciones de procedimientos que se pueden ejecutar desde Microsoft Azure Sentinel en respuesta a una alerta o un incidente. Un cuaderno de estrategias puede ayudarle a automatizar y organizar su respuesta y se puede configurar para que se ejecute automáticamente cuando se generen alertas o incidentes específicos; para ello, se adjuntan a una regla de análisis o una regla de automatización, respectivamente. También se puede ejecutar manualmente a petición.

Los cuadernos de estrategias de Microsoft Azure Sentinel se basan en flujos de trabajo integrados en Azure Logic Apps, lo que significa que obtendrá toda la versatilidad, personalización y plantillas integradas de Logic Apps. Cada cuaderno de estrategias se crea para la suscripción específica a la que pertenece, pero en Cuadernos de estrategia se muestran todos los cuadernos de estrategias disponibles en todas las suscripciones seleccionadas.

Nota

Dado que los cuadernos de estrategias hacen uso de Azure Logic Apps, es posible que se apliquen cargos adicionales. Visite la página de precios de Azure Logic Apps para más información.

Por ejemplo, si desea detener el movimiento en la red y el robo de información por parte de usuarios potencialmente en peligro, puede crear una respuesta automatizada y de varias facetas para los incidentes generados por reglas que detecten usuarios en peligro. Comience por crear un cuaderno de estrategias que lleve a cabo las siguientes acciones:

1. Cuando una regla de automatización llama al cuaderno de estrategias y le pasa un incidente, el cuaderno de estrategias abre una incidencia en ServiceNow o en cualquier otro sistema de vales de TI.

2. Envía un mensaje al canal de operaciones de seguridad en Microsoft Teams o Slack para asegurarse de que los analistas de seguridad sean conscientes del incidente.

3. También envía toda la información del incidente en un mensaje de correo electrónico al administrador de seguridad y al administrador de red sénior. El mensaje de correo electrónico incluirá los botones de opciones de usuario Bloquear e Ignorar.

4. El cuaderno de estrategias espera hasta que se reciba una respuesta de los administradores y, después, continúa con los pasos siguientes.

5. Si los administradores eligen Bloquear, envía un comando a Azure AD para deshabilitar el usuario y uno al firewall para bloquear la dirección IP.

6. Si los administradores eligen Ignorar, el cuaderno de estrategias cierra el incidente en Microsoft Azure Sentinel y el vale en ServiceNow.

Para desencadenar el cuaderno de estrategias, cree una regla de automatización que se ejecute cuando se generen estos incidentes. Esta regla llevará a cabo estos pasos:

1. La regla cambia el estado del incidente a Activo.

2. Asigna el incidente al analista encargado de administrar este tipo de incidentes.

3. Agrega la etiqueta "usuario en peligro".

4. Por último, llama al cuaderno de estrategias que acaba de crear. (Se requieren permisos especiales para este paso).

Los cuadernos de estrategias se pueden ejecutar automáticamente en respuesta a incidentes mediante la creación de reglas de automatización que llaman a los cuadernos de estrategias como acciones, como en el ejemplo anterior. También se pueden ejecutar automáticamente en respuesta a alertas, indicando a la regla de análisis que ejecute automáticamente uno o varios cuadernos de estrategias cuando se genere la alerta.

También puede elegir ejecutar un cuaderno de estrategias manualmente a petición, como respuesta a una alerta seleccionada.

Obtenga una introducción más completa y detallada para la automatización de las respuestas a amenazas mediante reglas de automatización y cuadernos de estrategias en Microsoft Azure Sentinel.

Crear un cuaderno de estrategias

Para crear un nuevo cuaderno de estrategias en Microsoft Azure Sentinel, siga estos pasos:

1. En el menú de navegación de Microsoft Azure Sentinel, seleccione Automation (Automatización).

2. En el menú superior, seleccione Crear.

3. El menú desplegable que aparece en Crear ofrece cuatro opciones para crear cuadernos de estrategias:

   1. Si va a crear un cuaderno de estrategias Estándar (el nuevo tipo, consulte Tipos de aplicación lógica), seleccione Blank playbook (Cuaderno de estrategias en blanco) y siga los pasos de la pestaña Logic Apps Standard (Aplicaciones lógicas Estándar) que aparece a continuación.

   2. Si va a crear un cuaderno de estrategias Consumo (el tipo original, clásico), en función del desencadenador que quiera usar, seleccione Cuaderno de estrategias con desencadenador de incidentes o Cuaderno de estrategias con desencadenador de alertas o Cuaderno de estrategias con desencadenador de entidad. A continuación, siga los pasos descritos en la pestaña Logic Apps Consumption siguiente.

      Para obtener más información sobre qué desencadenador usar, consulte Uso de desencadenadores y acciones en cuadernos de estrategias de Microsoft Sentinel.

Logic Apps Consumption

Preparación del cuaderno de estrategias y la aplicación lógica

Independientemente del desencadenador con el que eligiera crear el cuaderno de estrategias en el paso anterior, aparecerá el Asistente Crear un cuaderno de estrategias.

1. En la pestaña Básica:

   1. Seleccione los valores de Suscripción, Grupo de recursos y Región que prefiera en sus listas desplegables respectivas. La región elegida es donde se almacenará la información de la aplicación lógica.

   2. Escriba un nombre para el cuaderno de estrategias en Nombre del cuaderno de estrategias.

   3. Si desea supervisar la actividad de este cuaderno de estrategias con fines de diagnóstico, marque la casilla Habilitar registros de diagnóstico en Log Analytics y elija el Área de trabajo de Log Analytics en la lista desplegable.

   4. Si los cuadernos de estrategias necesitan acceso a recursos protegidos que están dentro de una red virtual de Azure o conectados a una, es posible que tenga que usar un entorno de servicio de integración (ISE). Si es así, marque la casilla Asociar con el entorno del servicio de integración y seleccione el ISE deseado en la lista desplegable.

   5. Seleccione Siguiente: Conexiones>.

2. En la pestaña Conexiones:

   Lo ideal sería dejar esta sección tal cual y configurar Logic Apps para la conexión con Microsoft Sentinel con identidad administrada. Aprenda sobre esta y otras alternativas de autenticación.

   Seleccione Siguiente: Revisar y crear>.

3. En la pestaña Revisar y crear:

   Revise las opciones de configuración que ha realizado y seleccione Crear y continuar con el diseñador.

4. El cuaderno de estrategias tardará unos minutos en crearse e implementarse, después de lo cual verá el mensaje "Se completó la implementación" y se le llevará al nuevo diseñador de aplicaciones lógicas del cuaderno de estrategias. El desencadenador que eligió al principio se agregará automáticamente como primer paso y, a partir de aquí, podrá seguir diseñando el flujo de trabajo.

   

   Si eligió el desencadenador Entidad de Microsoft Sentinel (versión preliminar), seleccione el tipo de entidad que quiere que este cuaderno de estrategias reciba como entrada.

   

Logic Apps Standard

Preparación de la aplicación lógica y el flujo de trabajo

Hay tres pasos para empezar a crear un cuaderno de estrategias de Logic Apps Standard:

1. Cree una aplicación lógica.
2. Cree un flujo de trabajo (este es el cuaderno de estrategias en sí).
3. Elija el desencadenador.

Crear una aplicación lógica

Puesto que seleccionó Cuaderno de estrategias en blanco, se abrirá una nueva pestaña del explorador que le llevará al Asistente Crear una aplicación lógica.

1. En la pestaña Básica:

   1. Seleccione los valores de Suscripción y Grupo de recursos que prefiera en sus listas desplegables respectivas.

   2. Escriba un nombre para la aplicación lógica. En Publicar, elija Flujo de trabajo. Seleccione el valor de Región donde desea implementar la aplicación lógica.

   3. En Tipo de plan, elija Standard.

   4. Seleccione Siguiente: Hospedaje>.

2. En la pestaña Hospedaje:

   1. Para Tipo de almacenamiento, elija Azure Storage y elija o cree una cuenta de Storage.

   2. Elija un plan de Windows.

3. Seleccione Siguiente: supervisión>.

4. En la pestaña Supervisión:

   1. Si quiere habilitar la supervisión del rendimiento en Azure Monitor para esta aplicación, deje el botón de alternancia en Sí. De lo contrario, cambie a No.

      Nota

      Esta supervisión no es necesaria para Microsoft Sentinel y le costará más.

   2. Si lo desea, puede seleccionar Siguiente: etiquetas > para aplicar etiquetas a esta aplicación lógica con fines de categorización y facturación de recursos. En caso contrario, seleccione Revisar y crear.

5. En la pestaña Revisar y crear:

   Revise las opciones de configuración que ha realizado y seleccione Crear.

6. El cuaderno de estrategias tardará unos minutos en crearse e implementarse, durante este tiempo verá algunos mensajes de implementación. Al final del proceso se le dirigirá a la pantalla de implementación final, donde verá el mensaje "Se completó la implementación".

   Haga clic en Go to resource (Ir al recurso). Se le dirigirá a la página principal de la nueva aplicación lógica.

   A diferencia de los cuadernos de estrategias de consumo clásicos, aún no ha terminado. Ahora debe crear un flujo de trabajo.

Creación de un flujo de trabajo (cuaderno de estrategias)

1. Seleccione Flujos de trabajo en el menú de navegación de la página de la aplicación lógica.

2. Seleccione + Agregar en la barra de botones de la parte superior (puede tardar unos segundos en activarse).

3. Aparecerá el panel Nuevo flujo de trabajo. Escriba un nombre para el flujo de trabajo.

4. En Tipo de estado, seleccione Con estado.

   Nota

   Microsoft Sentinel no admite actualmente el uso de flujos de trabajo Sin estado como cuadernos de estrategias.

5. Seleccione Crear. El flujo de trabajo se guardará y aparecerá en la lista de flujos de trabajo de la aplicación lógica. Seleccione el flujo de trabajo para continuar.

6. Escribirá la página del flujo de trabajo. Aquí puede ver toda la información sobre el flujo de trabajo, incluido un registro de todas las veces que se ejecutará. En el menú de navegación, seleccione Diseñador.

7. Se abrirá la pantalla Diseñador y se le pedirá que agregue un desencadenador y continúe diseñando el flujo de trabajo.

   

Elección del desencadenador

1. Seleccione la pestaña Azure y escriba "Sentinel" en la línea de búsqueda.

2. En la pestaña Desencadenadores a continuación verá los tres desencadenadores que ofrece Microsoft Sentinel:

   • Alerta de Microsoft Sentinel (versión preliminar)
   • Entidad de Microsoft Sentinel (versión preliminar)
   • Incidente de Microsoft Sentinel (versión preliminar)

   Seleccione el desencadenador que coincida con el tipo de cuaderno de estrategias que va a crear.

   

   Si eligió el desencadenador Entidad de Microsoft Sentinel (versión preliminar), seleccione el tipo de entidad que quiere que este cuaderno de estrategias reciba como entrada.

   

Nota

Al elegir un desencadenador o cualquier acción posterior, se le pedirá que se autentique en el proveedor de recursos con el que interactúe. En este caso, el proveedor es Microsoft Azure Sentinel. Para la autenticación existen distintos métodos. Para más información e instrucciones, consulte Autenticación de cuadernos de estrategias en Microsoft Azure Sentinel.

Para más información sobre qué desencadenador usar, consulte Uso de desencadenadores y acciones en los cuadernos de estrategias de Microsoft Azure Sentinel.

Incorporación de una acción

Ahora puede definir lo que ocurre cuando se llame al cuaderno de estrategias. Puede agregar acciones, condiciones lógicas, bucles o condiciones switch-case; para ello, seleccione Nuevo paso. Esta selección abre un nuevo marco en el diseñador, donde puede elegir un sistema o una aplicación con la que interactuar o una condición para establecer. Escriba el nombre del sistema o la aplicación en la barra de búsqueda de la parte superior del marco y, a continuación, elija entre los resultados disponibles.

En cada uno de estos pasos, al hacer clic en cualquier campo se muestra un panel con dos menús: Contenido dinámico y Expresión. En el menú Contenido dinámico, puede agregar referencias a los atributos de la alerta o el incidente que se ha pasado al cuaderno de estrategias, incluidos los valores y atributos de todas las entidades asignadas y detalles personalizados contenidos en la alerta o el incidente. En el menú Expresión, puede elegir entre una gran biblioteca de funciones para agregar lógica adicional a los pasos.

En esta captura de pantalla se muestran las acciones y condiciones que agregaría en la creación del cuaderno de estrategias descrito en el ejemplo que aparece al principio de este documento. Obtenga más información sobre cómo agregar acciones a los cuadernos de estrategias.

Consulte Uso de desencadenadores y acciones en cuadernos de estrategias de Microsoft Sentinel para obtener más información sobre las acciones que puede agregar a los cuadernos de estrategias con distintos fines.

En concreto, tenga en cuenta esta información importante sobre los cuadernos de estrategias basados en el desencadenador de entidad en un contexto que no sea de incidente.

Automatizar las respuestas frente a amenazas

Ha creado el cuaderno de estrategias y ha definido el desencadenador, ha establecido las condiciones y ha indicado las acciones que realizará y las salidas que generará. Ahora debe determinar los criterios según los cuales se ejecutará y configurar el mecanismo de automatización que lo ejecutará cuando se cumplan los criterios.

Respuesta a incidentes

Puede usar un cuaderno de estrategias para responder a un incidente mediante la creación de una regla de automatización que se ejecutará cuando se genere el incidente y, a su vez, llamará al cuaderno de estrategias.

Para crear una regla de automatización:

1. En la hoja Automation (Automatización) del menú de navegación de Microsoft Azure Sentinel, seleccione Create (Crear) en el menú superior y luego Add new rule (Agregar nueva regla).

   

2. Se abre el panel Create new automation rule (Creación de una regla de automatización). Escriba un nombre para la regla.

   

3. Si desea que la regla de automatización surta efecto solo en determinadas reglas de análisis, especifique cuáles; para ello, modifique la condición If Analytics rule name (Si el nombre de la regla de análisis).

4. Agregue cualquier otra condición de la que desee que dependa la activación de esta regla de automatización. Haga clic en Add condition (Agregar condición) y elija condiciones en la lista desplegable. La lista de condiciones se rellena mediante los campos de detalles de la alerta e identificador de la entidad.

5. Elija las acciones que desea que realice esta regla de automatización. Entre las acciones disponibles se incluyen Asignar propietario, Cambiar estado, Cambiar gravedad, Agregar etiquetasy Ejecutar cuaderno de estrategias. Puede agregar tantas acciones como desee.

6. Si agrega la acción Ejecutar cuaderno de estrategias, se le pedirá que elija en la lista desplegable de los cuadernos de estrategias disponibles. Solo se pueden ejecutar desde reglas de automatización los cuadernos de estrategias iniciados por el desencadenador de incidentes, por lo que solo estos aparecerán en la lista.

   Importante

   Se deben conceder permisos explícitos a Microsoft Sentinel para ejecutar cuadernos de estrategias basados en el desencadenador de incidentes, ya sea manualmente o desde reglas de automatización. Si un cuaderno de estrategias aparece "atenuado" en la lista desplegable, significa que Sentinel no tiene permisos para el grupo de recursos de este cuaderno de estrategias. Haga clic en el vínculo Manage playbook permissions (Administrar permisos del cuaderno de estrategias) para asignar permisos.

   En el panel Manage permissions (Administrar permisos) que se abre, active las casillas de los grupos de recursos que contienen los cuadernos de estrategias que desea ejecutar y haga clic en Apply (Aplicar).

   

   • Debe tener permisos de propietario en cualquier grupo de recursos al que desee conceder permisos para Microsoft Azure Sentinel y debe tener el rol Colaborador de aplicación lógica en cualquier grupo de recursos que contenga los cuadernos de estrategias que desea ejecutar.

   • En una implementación de varios inquilinos, si el cuaderno de estrategias que quiere ejecutar se encuentra en otro inquilino, debe conceder el permisos a Microsoft Azure Sentinel para ejecutar el cuaderno de estrategias en el inquilino del cuaderno de estrategias.

     1. En el menú de navegación de Microsoft Azure Sentinel del inquilino de los cuadernos de estrategias, seleccione Settings (Configuración).
     2. En la hoja Settings (Configuración), seleccione la pestaña Settings (Configuración) y, a continuación, el expansor de Playbook permissions (Permisos del cuaderno de estrategias).
     3. Haga clic en el botón Configure permissions (Configurar permisos) para abrir el panel Manage permissions (Administrar permisos) mencionado anteriormente y continúe tal y como se describe allí.

   • Si, en un escenario de MSSP, desea ejecutar un cuaderno de estrategias en un inquilino del cliente a partir de una regla de automatización creada con la sesión iniciada en el inquilino del proveedor de servicios, debe conceder a Microsoft Azure Sentinel permiso para ejecutarlo en ambos inquilinos. En el inquilino del cliente, siga las instrucciones para la implementación multiinquilino de la viñeta anterior. En el inquilino del proveedor de servicios, debe agregar la aplicación Azure Security Insights a la plantilla de incorporación de Azure Lighthouse:

     1. En Azure Portal, vaya a Azure Active Directory.
     2. Haga clic en Aplicaciones empresariales.
     3. Seleccione Tipo de aplicación y filtre por Aplicaciones de Microsoft.
     4. En el cuadro de búsqueda, escriba Azure Security Insights.
     5. Copie el campo Id. de objeto. Deberá agregar esta autorización adicional a la delegación de Azure Lighthouse existente.

     El rol Colaborador de automatización de Microsoft Azure Sentinel tiene un identificador único fijo, que es f4c81013-99ee-4d62-a7ee-b3f1f648599a. Un ejemplo de autorización de Azure Lighthouse tendría este aspecto en la plantilla de parámetros:

     {
          "principalId": "<Enter the Azure Security Insights app Object ID>", 
          "roleDefinitionId": "f4c81013-99ee-4d62-a7ee-b3f1f648599a",
          "principalIdDisplayName": "Microsoft Sentinel Automation Contributors" 
     }
     

7. Establezca una fecha de expiración para la regla de automatización si desea que tenga una.

8. Escriba un número en Order (Orden) para determinar en qué punto de la secuencia de reglas de automatización se ejecutará esta regla.

9. Haga clic en Aplicar. ¡Y ya está!

Descubra otras maneras de crear reglas de automatización.

Respuesta a las alertas

Puede usar un cuaderno de estrategias para responder a una alerta mediante la creación de una regla de análisis o la edición de una existente, que se ejecuta cuando se genera la alerta, y la selección del cuaderno de estrategias como una respuesta automatizada en el asistente para reglas de análisis.

1. En la hoja Analytics (Análisis) del menú de navegación de Microsoft Azure Sentinel, seleccione la regla de análisis para la que desea automatizar la respuesta y haga clic en Edit (Editar) en el panel de detalles.

2. En la página Asistente para reglas de análisis: editar regla programada existente, seleccione la pestaña Respuesta automática.

   

3. Elija el cuaderno de estrategias en la lista desplegable. Puede elegir más de un cuaderno de estrategias, pero solo estarán disponibles los cuadernos de estrategias que utilicen el desencadenador de alertas.

4. En la pestaña Revisar y actualizar, seleccione Guardar.

Ejecución de un cuaderno de estrategias a petición

También puede ejecutar manualmente un cuaderno de estrategias a petición, tanto en incidentes (en versión preliminar) como en alertas. Esto puede ser útil en situaciones en las que desea más entrada humana y control sobre los procesos de orquestación y respuesta.

Ejecución manual de un cuaderno de estrategias en una alerta

Nueva página Incident details

1. En la página Incidents (Incidentes), seleccione un incidente.

2. Seleccione View full details (Ver detalles completos) en la parte inferior del panel de detalles del incidente.

3. En la página de detalles del incidente, en el widget Incident timeline, elija la alerta en la que quiere ejecutar el cuaderno de estrategias. Seleccione los tres puntos al final de la línea de la alerta y elija Run playbook en el menú emergente.

4. Se abrirá el panel Alert playbooks (Cuadernos de estrategias de alertas) de reproducción de alertas. Verá una lista de todos los cuadernos de estrategias configurados con el desencadenador de Logic Apps de alertas de Microsoft Sentinel al que tiene acceso.

5. Seleccione Run (Ejecutar) en la línea de un cuaderno de estrategias específico para desencadenarlo.

Grafo de investigación

1. En la página Incidents (Incidentes), seleccione un incidente.

2. Seleccione View full details (Ver detalles completos) en la parte inferior del panel de detalles del incidente.

3. En la página de detalles del incidente, seleccione la pestaña Alerts (Alertas), elija la alerta en la que desea ejecutar el cuaderno de estrategias y seleccione el vínculo View playbooks (Ver cuadernos de estrategias) al final de la línea de esa alerta.

4. Se abrirá el panel Alert playbooks (Cuadernos de estrategias de alertas) de reproducción de alertas. Verá una lista de todos los cuadernos de estrategias configurados con el desencadenador de Logic Apps de alertas de Microsoft Sentinel al que tiene acceso.

5. Seleccione Run (Ejecutar) en la línea de un cuaderno de estrategias específico para desencadenarlo.

Para ver el historial de ejecución de los cuadernos de estrategias en una alerta, seleccione la pestaña Runs (Ejecuciones) en el panel Alert playbooks (Cuadernos de estrategias de alertas). Una ejecución completada recientemente puede tardar unos segundos en aparecer en esta lista. Si selecciona una ejecución específica, se abrirá el registro de ejecuciones completo en Logic Apps.

Ejecución manual de un cuaderno de estrategias en un incidente

1. En la página Incidents (Incidentes), seleccione un incidente.

2. En el panel de detalles del incidente que aparece a la derecha, seleccione Actions > Run playbook (Preview) (Acciones > Ejecutar de cuadernos de estrategias [versión preliminar]).
   (Al seleccionar los tres puntos al final de la línea del incidente en la cuadrícula o hacer clic con el botón derecho en el incidente, se mostrará la misma lista que el botón Action (Acción).

3. Se abre el panel Run playbook on incident (Ejecutar el cuaderno de estrategias en el incidente) a la derecha. Verá una lista de todos los cuadernos de estrategias configurados con el desencadenador de Logic Apps de incidentes de Microsoft Sentinel al que tiene acceso.

   Nota

   Si no ve el cuaderno de estrategias que quiere ejecutar en la lista, significa que Microsoft Sentinel no tiene permisos para ejecutar cuadernos de estrategias en ese grupo de recursos (consulte la nota anterior). Para conceder esos permisos, seleccione Settings (Configuración) en el menú principal, elija la pestaña Settings (Configuración), expanda el expansor Playbook permissions (Permisos de cuaderno de estrategias) y seleccione Configure permissions (Configurar permisos). En el panel Manage permissions (Administrar permisos) que se abre, active las casillas de los grupos de recursos que contienen los cuadernos de estrategias que quiere ejecutar y seleccione Apply (Aplicar).

4. Seleccione Run (Ejecutar) en la línea de un cuaderno de estrategias específico para desencadenarlo.

Para ver el historial de ejecuciones de los cuadernos de estrategias de un incidente, seleccione la pestaña Runs (Ejecuciones) en el panel Run playbook on incident (Ejecutar cuaderno de estrategias en incidentes). Una ejecución completada recientemente puede tardar unos segundos en aparecer en esta lista. Si selecciona una ejecución específica, se abrirá el registro de ejecuciones completo en Logic Apps.

Ejecución manual de un cuaderno de estrategias en una entidad

1. Seleccione una entidad de una de las siguientes formas, en función del contexto de origen:

   Si está en la página de detalles de un incidente (nueva versión, ahora en versión preliminar):

   1. En el widget Entities de la pestaña Overview, busque una entidad en la lista (no la seleccione).
   2. Seleccione los tres puntos a la derecha de la entidad.
   3. Seleccione Run playbook (Preview) en el menú emergente y continúe con el paso 2 siguiente.
      Si seleccionó la entidad y rellenó la pestaña Entities de la página de detalles del incidente, continúe con la siguiente línea.
   4. Busque una entidad de la lista (no la seleccione).
   5. Seleccione los tres puntos a la derecha de la entidad.
   6. Seleccione Run playbook (Preview) en el menú emergente.
      Si ha seleccionado la entidad y ha especificado su página de entidad, seleccione el botón Ejecutar cuaderno de estrategias (versión preliminar) en el panel izquierdo.

   Si se encuentra en la página de detalles de un incidente (versión heredada):

   1. Seleccione la pestaña Entidades del incidente.
   2. Busque una entidad de la lista (no la seleccione).
   3. Seleccione el vínculo Ejecutar cuaderno de estrategias (versión preliminar) al final de la línea en la que aparece en la lista.
      Si ha seleccionado la entidad y ha especificado su página de entidad, seleccione el botón Ejecutar cuaderno de estrategias (versión preliminar) en el panel izquierdo.

   Si está en el gráfico de investigación:

   1. Seleccione una entidad en el gráfico.
   2. Seleccione el botón Ejecutar cuaderno de estrategias (versión preliminar) en el panel lateral de la entidad.
      Puede que para algunos tipos de entidad tenga que seleccionar el botón Acciones de entidad y, después, seleccionar Ejecutar cuaderno de estrategias (versión preliminar) en el menú resultante.

   Si busca amenazas de forma proactiva:

   1. En la pantalla Comportamiento de la entidad, seleccione una entidad de las listas de la página o busque otra entidad y selecciónela.
   2. En la página de la entidad, seleccione el botón Ejecutar cuaderno de estrategias (versión preliminar) en el panel izquierdo.

2. Independientemente del contexto del que provenga, todas las instrucciones anteriores abrirán el panel Ejecutar cuaderno de estrategias en <tipo de entidad>. Aparecerá una lista de todos los cuadernos de estrategias a los que tiene acceso que se han configurado con el desencadenador de Logic Apps de Entidad de Microsoft Sentinel para el tipo de entidad seleccionado.

3. Seleccione Run (Ejecutar) en la línea de un cuaderno de estrategias específico para desencadenarlo.

Para ver el historial de ejecuciones de los cuadernos de estrategias de una entidad determinada, seleccione la pestaña Ejecuciones en el panel Ejecutar cuaderno de estrategias en <tipo de entidad>. Una ejecución completada recientemente puede tardar unos segundos en aparecer en esta lista. Si selecciona una ejecución específica, se abrirá el registro de ejecuciones completo en Logic Apps.

Pasos siguientes

En este tutorial ha aprendido a usar los cuadernos de estrategias y las reglas de automatización de Microsoft Azure Sentinel para responder a las amenazas.

• Más información sobre la autenticación de cuadernos de estrategias en Microsoft Sentinel
• Más información sobre el uso de desencadenadores y acciones en cuadernos de estrategias de Microsoft Sentinel
• Más información acerca de
• Aprenda a buscar amenazas de forma proactiva mediante Microsoft Sentinel.